Cisco Cisco Firepower Management Center 2000 User Guide
53-5
FireSIGHT 系统用户指南
第 53 章 创建流量量变曲线
添加主机配置文件限定条件
添加主机配置文件限定条件
许可证:FireSIGHT
您可以使用来自被追踪主机的主机量变曲线的信息限制任何流量量变曲线。此类限制被称为
主机配
置文件限定条件。例如,如下图所示,您可以为仅被分配了
高
主机重要性的主机收集连接数据。
要使用主机配置条件限定条件,主机必须存在于数据库中,且您想要用作限定条件文件的主机配
置文件属性必须已经包含在主机配置文件中。例如,如果您配置了关联策略规则以触发何时在运
行 Windows 的主机上生成入侵事件,则该规则仅会在生成入侵事件时主机已经被识别为 Windows
时触发。
置文件属性必须已经包含在主机配置文件中。例如,如果您配置了关联策略规则以触发何时在运
行 Windows 的主机上生成入侵事件,则该规则仅会在生成入侵事件时主机已经被识别为 Windows
时触发。
要添加主机配置文件限定条件,请执行以下操作:
访问:管理员/发现管理员
步骤 1
在 Create Profile 页面上,点击
Add Host Profile Qualification
。
系统将显示 Host Profile Qualification 部分。
步骤 2
构建主机配置文件限定条件的条件。
可以创建一个简单的条件,或者通过结合和嵌套条件来创建较复杂的结构。有关构建条件的信
息,请参阅
息,请参阅
。
中介绍可以用来构建条件的语法。
提示
要移除主机配置文件限定条件,请点击
Remove Host Profile Qualification
。
用于主机配置文件限定条件的语法
许可证:FireSIGHT
当您构建主机配置文件限定条件时,必须首先选择要用于限制流量量变曲线的主机。您可以选择
Responder Host
或
Initiator Host
。在选择主机角色之后,请继续构建主机配置文件限定条件,如
表中所述。
虽然可将网络发现策略配置为根据 NetFlow 支持设备导入的数据向网络映射添加主机,但关于这
些主机的可用信息是有限的。例如,这些主机没有可用的操作系统数据,除非您使用主机输入功
能提供这些数据。此外,如果流量量变曲线使用已启用 NetFlow 的设备导出的连接数据,请记住
NetFlow 记录不包含有关连接中的哪台主机是发起方、哪台是响应方的信息。当系统处理
NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算法
确定该信息。有关详细信息,请参阅
些主机的可用信息是有限的。例如,这些主机没有可用的操作系统数据,除非您使用主机输入功
能提供这些数据。此外,如果流量量变曲线使用已启用 NetFlow 的设备导出的连接数据,请记住
NetFlow 记录不包含有关连接中的哪台主机是发起方、哪台是响应方的信息。当系统处理
NetFlow 记录时,它会根据各主机正在使用的端口以及此类端口是否为公认端口来使用一种算法
确定该信息。有关详细信息,请参阅
。
要匹配
隐含或一般客户端,请根据响应客户端的服务器所用的应用协议创建主机配置文件限定条
件。当作为连接发起方或源的主机上的客户端列表包含
客户端
遵循的应用协议名称时,该客户端
可能实际上就是一种隐含客户端。换句话说,系统会根据使用该客户端的应用协议的服务器响应
流量,而非检测到的客户端流量来报告该客户端。
流量,而非检测到的客户端流量来报告该客户端。